OpenSSL, İki Yüksek Önemli Güvenlik Zafiyetini Düzeltiyor

Yayınlandı: 2 Kasım 2022

OpenSSL Projesi yakın zamanda, iletişim kanallarını ve HTTPS bağlantılarını şifrelemek için kullanılan açık kaynaklı kriptografik kitaplığındaki yüksek önemdeki iki güvenlik açığını düzeltti.

Bu güvenlik açıkları (CVE-2022-3602 ve CVE-2022-3786) OpenSSL 3.0.0 ve sonraki sürümlerini etkiler ve OpenSSL 3.0.7'de ele alınmıştır.

CVE-2022-3602, çökmelere veya uzaktan kod yürütülmesine (RCE) neden olmak için kullanılabilirken, CVE-2022-3786, hizmet reddi durumunu tetiklemek için kötü niyetli e-posta adresleri aracılığıyla tehdit aktörleri tarafından kullanılabilir.

OpenSSL ekibi, "Bu sorunları hala ciddi güvenlik açıkları olarak görüyoruz ve etkilenen kullanıcıların mümkün olan en kısa sürede yükseltme yapmaları teşvik ediliyor" dedi. ifade Salı günü.

“Uzaktan kod yürütülmesine yol açabilecek herhangi bir çalışan istismarın farkında değiliz ve bu yazının yayınlandığı tarihte bu sorunların istismar edildiğine dair hiçbir kanıtımız yok” diye ekledi.

OpenSSL'lere göre güvenlik Politikası, şirketler (gibi ExpressVPN) ve BT yöneticileri uyardı geçen hafta ortamlarında güvenlik açıkları aramak ve OpenSSL 3.0.7 yayınlandıktan sonra bunları düzeltmeye hazırlanmak için.

"OpenSSL 3.0+'ı nerede kullandığınızı ve nasıl kullandığınızı önceden biliyorsanız, o zaman tavsiye geldiğinde, etkilenip etkilenmediğinizi veya nasıl etkilendiğinizi ve nelere yama yapmanız gerektiğini hızla belirleyebilirsiniz." şuraya OpenSSL kurucusu Mark J Cox bir Twitter gönderisinde.

OpenSSL ayrıca, Aktarım Katmanı Güvenliği (TLS) sunucularını çalıştıran yöneticilerin yamalar uygulanana kadar TLS istemci kimlik doğrulamasını devre dışı bırakmasını gerektiren azaltma önlemleri de sağladı.

CVE-2022-3602'nin kritik düzeyden yüksek önem düzeyine indirildiği ve yalnızca OpenSSL 3.0 ve sonraki örnekleri etkilediği göz önüne alındığında, güvenlik açıklarının etkisi başlangıçta düşünülenden çok daha sınırlıydı.

Bulut güvenlik firması başına Wiz.io, büyük bulut ortamlarındaki (AWS, GCP, Azure, OCI ve Alibaba Cloud dahil) dağıtımları analiz ettikten sonra, tüm OpenSSL örneklerinin yalnızca %1.5'inin güvenlik açığından etkilendiği bulundu.

Hollanda Ulusal Siber Güvenlik Merkezi de bir paylaşımda bulundu. liste OpenSSL güvenlik açığından etkilenmediği teyit edilen yazılım ürünlerinin sayısı.